マイクロソフトは年初から、ほぼ半世紀分に相当するCVEに対するパッチを提供した。ただし、昨日の2024年1月のパッチチューズデーでは、ゼロデイのバグは対処されなかった。
今回の修正には、重大(Critical)に分類されるCVEは2件のみが含まれており、Windows Kerberos認証プロトコルと、Windows Hyper-Vの仮想化機能に影響するものだった。
CVE-2024-20674は前者に影響する。CVSSスコアは9.0のセキュリティ機能バイパスの脆弱性で、Kerberos認証の不正な悪用を許す可能性がある。
Action1の社長であるMike Walters氏によれば、このバグを悪用するには、脅威アクターが中間者(MITM)攻撃、またはローカルネットワークのスプーフィングを作成してKerberos認証サーバーになりすまし、標的のマシンに悪意のあるメッセージを送信する必要がある。
「CVSSの指標によると、この脆弱性の攻撃ベクトルは『隣接』(AV:A)に分類されており、攻撃者は攻撃を成功させるために、まず制限されたネットワークへのアクセスを得る必要があることを示しています」と同氏は説明した。
「さらに、悪用に成功するとスコープ変更(S:C)を引き起こす可能性があります。これは、脆弱性の影響が、影響を受けるコンポーネントを担当する権限主体が管理するセキュリティスコープを超えて広がり、別のセキュリティ権限主体が管理するコンポーネントにも影響することを示しています。」
パッチチューズデーの詳細はこちら: マイクロソフト、12月のパッチチューズデーでCVE 34件とゼロデイ1件を修正
現時点でエクスプロイトコードは公開されていないものの、このバグはWindows 10、Windows 11、Windows Server 2019 およびWindows Server 2022に影響することが分かっている。
2つ目の重大な脆弱性はWindows Hyper-Vにあり、CVE-2024-20700として記録され、CVSSスコアは7.5となっている。
特別な権限やユーザー操作なしに悪用できる可能性がある一方で、脅威アクターはまず制限されたネットワークにアクセスする必要があり、攻撃の複雑性は「高」と評価されているとWalters氏は述べた。
「これは、悪用に成功するには競合状態(レースコンディション)に勝つ必要があり、悪意のあるコードを実行するためにイベントのタイミングと順序を精密に操作することが求められることを示唆しています」と同氏は付け加えた。
Qualys Threat Research Unit(TRU)の脆弱性研究担当プロダクトマネージャーであるSaeed Abbasi氏も、「重要(Important)」と評価された欠陥であるCVE-2024-0056について、システム管理者が精査すべきものとして強調した。
このセキュリティ機能バイパスの脆弱性の悪用に成功すると、脅威アクターがMITM攻撃を実行し、クライアントとサーバー間のTLSトラフィックを復号して読み取ったり改ざんしたりできる可能性がある。
攻撃の複雑性は高いものの、組織にとって潜在的に重大な脅威となり得る。
Abbasi氏は「悪用された場合、この脆弱性はデータ侵害を引き起こし、データの完全性を損ない、機密情報への不正アクセスにつながる可能性があります」と説明した。「安全なネットワークプロトコルの使用、異常の有無を確認するためのネットワークトラフィック監視、堅牢なファイアウォールルールの実装により、MITM攻撃をより複雑にするネットワークセキュリティの強化が推奨されます。」
画像クレジット: CHERRY.JUICE / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-12-rce-bugs-january/
